Política de correção de bugs de segurança
Para a Atlassian, é prioridade garantir que os sistemas dos clientes não sejam comprometidos explorando as vulnerabilidades nos produtos da Atlassian.
Escopo
Veja abaixo como e quando os bugs de segurança nos nossos produtos são resolvidos, mas observe que os processos de consultoria e divulgação que a gente segue não estão descritos por completo.
Objetivos de Nível de Serviço (SLO) de atualização de segurança
Foram definidos os seguintes prazos para corrigir problemas de segurança nos produtos:
Cronogramas de Resolução Acelerada
Os cronogramas são usados em todos os produtos baseados em nossa nuvem e em qualquer outro software ou sistema gerenciado por nós ou que esteja sendo executado na infraestrutura da Atlassian.
- Os bugs de gravidade crítica (CVSS v2 score >= 8, CVSS v3 score >= 9) devem ser corrigidos no produto no prazo de 2 semanas após serem relatados.
- Os bugs de gravidade alta (CVSS v2 score >= 6, CVSS v3 score >= 7) devem ser corrigidos no produto no prazo de 4 semanas após serem relatados.
- Os bugs de gravidade média (CVSS v2 score >= 3, CVSS v3 score >= 4) devem ser corrigidos no produto no prazo de 6 semanas após serem relatados.
- Os bugs de gravidade baixa (CVSS v2 score >= 3, CVSS v3 score < 4) devem ser corrigidos no produto no prazo de 25 semanas após serem relatados.
Cronogramas de Resolução Estendida
Os cronogramas são usados em todos os produtos autogerenciáveis da Atlassian e no Jira Align (tanto na versão de nuvem, quanto na versão autogerenciada). O produto autogerenciado é instalado pelo cliente nos sistemas gerenciados pelo cliente e inclui aplicativos móveis, de servidor, data center e desktop da Atlassian.
- Os bugs de gravidade crítica, alta e média(CVSS v2 score >= 3, CVSS v3 score >= 4) devem ser corrigidos no produto no prazo de 90 dias após serem relatados.
- Os bugs de gravidade baixa (CVSS v2 score < 3, CVSS v3 score < 4) devem ser corrigidos no produto no prazo de 180 dias após serem relatados.
Vulnerabilidades críticas
Quando uma vulnerabilidade de segurança crítica for descoberta pela Atlassian ou relatada por terceiros, a Atlassian vai:
- Lançar uma nova versão corrigida para a versão atual do produto afetado o mais rápido possível.
- Lançar uma versão de manutenção nova para uma versão anterior, da seguinte maneira:
Produto | Política de back port | Exemplo |
---|---|---|
Jira Software Server e Data Center Jira Core Server e Data Center Jira Service Management Server e Data Center | Lançar novas atualizações de segurança para:
| Para uma atualização de segurança crítica desenvolvida em 1o de janeiro de 2020, as seguintes novas atualizações de segurança são necessárias:
|
Confluence Server e Data Center | Lançar novas atualizações de segurança para:
| Para uma atualização de segurança crítica desenvolvida em 1o de janeiro de 2020, as seguintes novas atualizações de segurança são necessárias:
|
Bitbucket Server e Data Center | Lançar novas atualizações de segurança para:
| Para uma atualização de segurança crítica desenvolvida em 1o de janeiro de 2020, as seguintes novas atualizações de segurança são necessárias:
O Bitbucket 6.3.0 foi lançado em 14 de maio de 2019, mais de 6 meses antes da data da correção. Se fosse designado como uma versão de Suporte de longo prazo, também seria produzida uma versão de correção de bug. |
Versões de atualização de segurança serão lançadas apenas para as versões atual e anterior do recurso. | Para uma atualização de segurança crítica do Bamboo desenvolvida em 1o de janeiro de 2020, as seguintes novas atualizações de segurança são necessárias:
|
ProdutoJira Software Server e Data Center Jira Core Server e Data Center Jira Service Desk Server e Data Center |
Política de back portLançar novas atualizações de segurança para:
|
ExemploPara uma atualização de segurança crítica desenvolvida em 1o de janeiro de 2020, as seguintes novas atualizações de segurança são necessárias:
|
ProdutoConfluence Server e Data Center |
Política de back portLançar novas atualizações de segurança para:
|
ExemploPara uma atualização de segurança crítica desenvolvida em 1o de janeiro de 2020, as seguintes novas atualizações de segurança são necessárias:
|
ProdutoBitbucket Server e Data Center |
Política de back portLançar novas atualizações de segurança para:
|
ExemploPara uma atualização de segurança crítica desenvolvida em 1o de janeiro de 2020, as seguintes novas atualizações de segurança são necessárias:
O Bitbucket 6.3.0 foi lançado em 14 de maio de 2019, mais de 6 meses antes da data da correção. Se fosse designado como uma versão de Suporte de longo prazo, também seria produzida uma versão de correção de bug. |
Produto |
Política de back portVersões de atualização de segurança serão lançadas apenas para as versões atual e anterior do recurso. |
ExemploPara uma atualização de segurança crítica do Bamboo desenvolvida em 1o de janeiro de 2020, as seguintes novas atualizações de segurança são necessárias:
|
É importante ter a atualização de segurança mais recente do produto instalada (é uma prática recomendada). Por exemplo, se você estiver usando o Jira Software 7.5.0, faça upgrade para o Jira Software 7.5.3 . Se uma atualização de segurança nova for lançada, como o Jira Software 7.5.4, a diferença entre as duas versões vai ser mínima (apenas a correção de segurança), facilitando a aplicação.
O processo de resolução de vulnerabilidades críticas não se aplica aos produtos Atlassian Cloud, pois esses serviços são sempre corrigidos pela Atlassian e os clientes não precisam fazer nada.
Vulnerabilidades não críticas
Quando um problema de segurança de grau Alto, Médio ou Baixo for descoberto, a Atlassian vai incluir uma correção no próximo lançamento agendado. A correção também pode ser adaptada para versões de Suporte de longo prazo, se possível.
Você deve fazer o upgrade das instalações quando sair uma atualização de segurança nova para garantir que as correções de segurança mais recentes foram implementadas.
Outras informações
O nível de gravidade das vulnerabilidades é calculado com base nos níveis de gravidade dos itens de segurança.
As políticas da Atlassian são sempre avaliadas com base no retorno dos clientes, e eventuais atualizações e alterações são apresentadas nesta página.